Chapitre II Simple Network

Management Protocol
SNMP

Dr.Hafs T.
 Historique
• Pour répondre aux besoins d ’administration du réseau
Internet, l’IETF (Internet Engineering Task Force) a créé,
en 1988, un protocole : SNMP (Simple Network
Management Protocol).

Rôle du SNMP :
- Fédérer en un standard unique
des protocoles multiples liés aux
équipementiers.
- Déploiement rapide et à
moindre coût.
 Généralités
• L’environnement SNMP répond à trois objectifs :
▫ Permettre la configuration des éléments d’un réseau
▫ Détecter et analyser les fautes d’un réseau
▫ Surveiller les performances d’un réseau
 Les différentes versions de SNMP
 SNMPv1 (ancien standard) : Première version apparue en 1989.
 SNMPsec (historique): Ajout de sécurité par rapport à la
version 1
 SNMPv2p (historique) : Ajout de nouveau type de données.
 SNMPv2c (expérimental) : Amélioration des opérations du
protocole
 SNMPv2u (expérimental) : Implémente la version 2c en
ajoutant la sécurité utilisateurs.
 SNMPv2* (expérimental) : Combinaison des meilleures parties
de v2u et v2p.
 SNMPv3 (nouveau standard) : La sécurité avant tout.
 GÉNÉRALITÉS
Généralités
• Le protocole SNMP comprend trois composantes :
Les nœuds Le protocole de
administrés communication

La station
d’administration
 Les nœuds administrés
• Les nœuds administrés contiennent un agent SNMP
(ou compatible SNMP). Ils fournissent des
informations à partir d’une base de données dont les
éléments reflètent l’état de l’objet qu’ils représentent.
• On distingue plusieurs types d’agent :
▫ L’agent Rmon
▫ Le proxy-agent
 Les nœuds administrés
• Les différents noeuds administrables (MN) sur le réseau se
décomposent en trois catégories:

• Les hosts (station de travail, serveur de terminaux, imprimantes

réseau, etc...),
• Les équipements de raccordement (commutateurs, répéteurs,
ponts, HUB, routeurs, passerelles),
• Les média (coaxiaux, paire torsadée, fibre optique, liaison
spécialisée, etc...).
 La station d’administration
• La station d’administration ou NMS (Network
Management Station) est un applicatif pour la
surveillance et le contrôle du réseau.
 L’Audit de gestion des
ressources
Rôle du gestionnaire SNMP vis à vis des agents:
„- Configurer des périphériques distants.
„- Surveiller les performances du réseau.
„- Détecter les défaillances du réseau
„- Gestion des alarmes: lorsqu'une alarme se déclenche, le périphérique transmet
un message d'événement au système de gestion.
Les types d'alarmes courants sont par exemple, l'arrêt et le redémarrage d'un
périphérique, la détection d'un lien défaillant sur un routeur et un accès interdit.
 MIB
• MIB (Base d’information de
données) :
▫ Base de données contenant les informations
nécessaires à la gestion d'un réseau
informatique.
▫ Organisée sous forme d’arborescence
standardisée.
▫ Il est impossible de modifier sa structure,
seul un accès aux informations d’une feuille
est permis.
L’arborescence MIB
root

ccitt(0) iso(1) joint-iso-ccitt(3)

org(3)

dod(6)
1.3.6.1

internet(1)

directory(1) mgmt(2) experimental(3) private(4)

mib-2(1) enterprises(1)

host(25) system(1) snmp(11) cisco(9)

HrDevice StockageHr interfaces(2) ip(4)
HrSystem
L’arborescence MIB
root

ccitt(0) iso(1) joint-iso-ccitt(3)

org(3) ciscoMgmt(9)

dod(6) ciscoEnvMonMIB(13)
1.3.6.1

internet(1) ciscoEnvMonObjects(1)

directory (1) mgmt(2) experimental(3) private(4) ciscoEnvMonTemperatureStatusTable(3)

mib-2(1) ciscoEnvMonTemperatureStatusEntry(1)
enterprises(1)

ciscoEnvMonTemperatureStatusValue(3)
cisco(9)
system(1) snmp(11)
interfaces(2) ip(4) ...
L’arborescence MIB
Relation entre MIB, agents et système de gestion :
L’arborescence MIB
 Architecture

• Le système de gestion SNMP est divisé en deux : le système

de gestion et les agents.
 Architecture (suite)
• Le système de gestion :
▫ Interroge les agents et récupère les informations.
▫ Configure les agents si il y est autorisé.
▫ Demande à l’agent de lui envoyer une alerte en cas de
situation critique.
▫ Trace un portrait du réseau et analyse les info des MIBs.

• Les agents :
▫ Répondent aux demandes d'informations du ou des
systèmes de gestion.
▫ Peuvent être configurés pour déterminer les systèmes de
gestion autorisés à demander des informations.
▫ Un message d‘interruption est la seule communication
SNMP déclenchée par un agent (dont le but est de renforcer
la sécurité).
Architecture (suite)
Architecture (suite)
 Les requêtes SNMP
 Recherche d’informations :
 GetRequest : recherche d’une variable sur un agent.
 GetNextRequest : recherche de la variable suivante.
 GetBulkRequest : recherche d’un groupe de variables

 Envoie d’informations
 Trap : détection d’un incident

 Modification de valeurs :
 SetRequest : permet de changer la valeur d’une variable d’un agent.

A titre d’information, d’autres requêtes existent (ex: InformRequest…)

mais ne seront pas abordées dans cette présentation.
 Les réponses SNMP
Une seule réponse existe.
Elle est différente s’il y a une
erreur ou non.

 Aucune erreur :
GetResponse : renvoie la ou les valeurs
souhaitées

 En cas d’erreur :
GetResponse mais accompagné d’un
NoSuchObject
Les commandes SNMP
 Présentation de
SNMPv1 et SNMPv2c

La Trame
Les faiblesses de SNMPv1 – SNMPv2c

 L’authentification

 Le cryptage du PDU

 Le manque de confidentialité

En un mot :

LA SECURITE
Architecture d’un agent SNMPv3
Le modèle de sécurité de SNMPv3

 Il est basé sur deux

concepts :

 USM ( User-based
Security Model )

 VACM ( View-based
Access Control Model )
USM (User Security Model)

Ce module de sécurité se compose

en 3 opérations :
 L’authentification
 Le cryptage
 L’estampillage du temps
L’authentification
 Nous avons deux méthodes à notre disposition :
 HMAC-MD5-96
 HMAC-SHA-96
(HMAC = Keyed-Hashing for Message Authentication)
Le cryptage du PDU
 A l’heure actuelle un seul mécanisme de cryptage est proposé :

 DES (Data Encryption Standard)

Émetteur Récepteur
L’estampillage du temps
 Trame effective sur un temps restreint
 S’il y a une différence supérieur à 150 ms entre la date de
création de la trame et son traitement, elle est détruite. Cette
donnée est paramétrable.
 Empêche la réutilisation d’une trame (inhibe le système contre le
« replay attack »)
VACM (View Access Control Model)

 Permet le contrôle d’accès au MIB.

 Possibilité de restriction d’accès en lecture et/ou
écriture pour un groupe ou par utilisateur.
La trame de SNMPv3
 CMIP
Common Management Information Protocol

Le trafic sur le réseau est diminué, car il y a des transferts d’information que
lorsqu’il y a quelque chose d’important à rapporter. Par contre, les ressources des
appareils sont énormément plus utilisées avec le CMIP, dans un rapport
approximatif de 10 fois.

Le CMIP est un protocole plus sécurisé

que le protocole SNMP, mais sa
complexité exige un réseau dont les
appareils doivent êtres assez
performants.